师傅银行木马是一款Windows恶意程序,在 2015 年首次发现。师傅基于 Shiz 源代码构建,使用了 Zeus 所使用的技术。攻击者使用师傅在全球各网上银行网站窃取证书凭据,最早在俄罗斯,后来日本、英国、 意大利和其他国家也发现了它的身影。
Arbor Unit 42 研究发现,师傅作者已经在 2016 年更新了这个银行木马恶意软件。师傅银行木马现已加入多个新技术,用于感染更多的计算机,同时规避微软 Windows 系统的检测。其中包括︰
- CVE-2016-0167 Microsoft Windows 权限提升漏洞来获得系统级权限。早期版本的师傅利用 CVE-2015-0003 实现相同的目标
- 使用一个 Windows atom以确定当前主机是否已经感染了师傅,以便与以前版本使用互斥
- 使用“push-calc-ret” API 混淆隐藏恶意软件分析的函数调用
- 使用附加的 Namecoin .bit 域
师傅银行木马的基本功能
最初发布的师傅银行木马具有如下功能
- anti-reseach,anti-VM和anti-sandbox;
- HOOK 浏览器和web 注入解析器;
- 键盘记录;
- 屏幕截图;
- 证书采集;
- 端点分类,监控感兴趣的应用程序;
- 远程控制和bot-control模块。
详细分析见 http://researchcenter.paloaltonetworks.com/2017/01/unit42-2016-updates-shifu-banking-trojan/
原文发布时间:2017年3月24日
本文由:安全加 发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/new-shifu-banking-trojan
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站
